網路資安威脅
網路安全框架:回歸基本
巴甫洛夫博士曾經說過:「如果想要新點子,就從舊經驗中尋找」。這同樣適用在網路安全實作上。探索該如何延伸基本的網路安全框架,以減少系統和員工的資安風險。 資安意識意味著知道什麼是資安問題,什麼可能導致資安問題,以及該如何阻止或預防資安問題。在這網路安全意識月,我將重點探討基本網路安全框架如何能夠解決系統和員工的資安風險。
基本網路安全框架
在1994年11月,ISO發布了標準ISO/IEC 7498,即開放式系統互聯(OSI)的七層參考模型。

OSI模型的好處在於:
- 將網路運作的各個方面劃分為更簡單的組成來降低複雜性
- 標準化介面,讓特定功能的設計和開發能夠更加專業化
- 加速演進,並且更容易進行故障排除;網路管理員可以查看導致問題的那一層,而不用檢查整個網路
- 促進模組化工程,防止對某一層的更改影響到其他層
- 讓網路管理員能夠判斷建構網路所需的硬體和軟體
較鮮為人知的配套標準ISO 7498-2為此OSI模型加上了安全功能。五個主要的安全功能有:
- 身份驗證:與電腦交談時,你如何證明自己是聲稱的人?
- 多因子身份驗證(MFA)–零信任 (Zero Trust)架構的一部分,代表你不僅擁有使用者帳號和密碼或密鑰,同時還具備其他支持證明自己是正確的人。無論你用什麼系統追踪已授權使用者,請確保它隨時更新 – 不要讓個人保留不該擁有或不需要的權限。
- 授權:現在我們知道你是誰,那什麼是你可以做的?大多數系統使用某種形式的存取控制列表。確保你的列表保持更新。
- 資料完整性:確保你看到的資料沒有被篡改過。
- 資料機密性:確保資料只被正確的人和服務看到。
- 不可否認性:這有兩種形式。一種形式適用於發送者:如果我發送訊息給你,我不能否認自己發送這內容。另一種形式適用於收件者:如果你收到一則訊息,你不能否認自己收到過。兩種形式都用公鑰系統來實現
這些功能並非簡單地與OSI模型中的各層對齊。可以用各種不同方式實現。這個網路安全框架展示了這些功能如何在架構上提供一個資安平台,以實現可信賴和可靠的訊息傳遞。它沒有說明要如何做到 – 有各種方法可以用來保護通訊,但它提出了在建構安全環境時要考慮的事情。
員工的網路安全框架
資安長和資安主管們可以將主要功能(身份驗證、授權、資料完整性、資料機密性和不可否認性)整合到員工培訓以擴展ISO網路安全框架。
擁有資安計劃對降低網路風險來說相當關鍵。但你該如何衡量其有效性並將其傳達給董事會呢?你必須要能夠證明資安計劃實現了三個目標:基本資安意識、積極的資安文化及有效的資安程序。有許多做法能夠檢測你的資安程序,你可以聘請滲透測試團隊、利用紅隊、引入諮詢機構或進行全面性的稽查。
而更簡單的方法是想像當一名員工(非技術人員而是一般人)在工作時看到可能有問題的事情。他們會如何回答這三個問題:
- 他會知道這是錯的嗎?
- 他會進行回報嗎?
- 如果他拿起電話,他會知道該打給誰嗎?
簡單來說,第一個問題是在測試員工的基本資安意識。第二個問題在探究組織的資安文化。第三個問題可以看出管理機制是否到位以支持這樣的資安文化和意識。更深入地說,如果他無法判斷情況是否可能為資安問題(可疑電子郵件或應用程式非預期的反應),那麼資安意識計畫就沒有引起共鳴。
假設他認為這是一個問題,他會選擇做什麼?也許會聯繫他的主管,而主管會說:是的,這可能是個問題,但它不在我們的工作範圍,所以我們不該造成麻煩。也許他記得當有同事回報問題時,所有人都知道了,再沒有人理會這位同事。但他就是想要遵守規定,拿起電話打給服務台。然後馬上聯絡站點資安人員,他們會想知道在哪裡出現問題。
如果這三個問題的答案出現一個「不」,那你的資安計劃就沒用了。但如果答案都是「是」,那麼一切就運轉良好。你在資安工具上花了多少錢並不重要 – 只要出現了一個「不」,這些工具就只是擺設。但如果面對這些問題時的答案都是堅定的「是」,那麼即使工具不完善,人們還是會讓它發揮作用。
在資安問題方面,人是最強大的環節。